J’ai passé la plus grande partie du mois dernier à faire une petite expérience pour voir combien cela me manquerait Adobeest bogué et peu sûr Lecteur Flash Logiciel si je le supprimais complètement de mes systèmes. Il s’avère que pas tellement.
Les plugins de navigateur sont les cibles préférées des logiciels malveillants et des malfaiteurs, car ils sont généralement pleins de failles de sécurité non corrigées ou non documentées que les cybercriminels peuvent utiliser pour prendre le contrôle complet des systèmes vulnérables. Le plug-in Flash Player en est un excellent exemple : il fait partie des plug-ins de navigateur les plus utilisés et nécessite des correctifs mensuels (sinon plus fréquemment).
Il n’est pas rare non plus qu’Adobe publie des correctifs d’urgence pour le logiciel afin de corriger les défauts que les méchants ont commencé à exploiter avant même qu’Adobe ne soit au courant des bogues. Cela s’est produit le plus récemment en février 2015, et deux fois le mois précédent. Adobe a également livré des correctifs Flash hors bande en décembre et novembre 2014.
Mise à jour, 11 h 30 HE : Curieusement, Adobe a publié il y a quelques minutes à peine un correctif hors bande pour corriger une faille zero-day dans Flash.
Histoire originale :
Il était temps que le plug-in Java d’Oracle soit la cible préférée des kits d’exploit, des outils logiciels conçus pour être intégrés à des sites piratés ou malveillants et imposer aux navigateurs visiteurs un évier de cuisine d’exploits pour diverses vulnérabilités de plug-in. Dernièrement, cependant, il semble que le pendule ait basculé en faveur des exploits pour Flash Player. Un kit d’exploit populaire connu sous le nom de Pêcheurpar exemple, a regroupé un nouvel exploit pour une vulnérabilité Flash trois jours seulement après qu’Adobe l’ait corrigé en avril 2015.
Donc, plutôt que de continuer la folie des correctifs et de garder ce logiciel non sécurisé installé, j’ai décidé de retirer le… euh… plugin. J’ai tendance à (ab)utiliser différents navigateurs pour différentes tâches, et donc la désinstallation du plugin était presque aussi simple que la désinstallation de Flash, sauf avec Chrome, qui regroupe sa propre version de Flash Player. N’ayez pas peur : désactiver Flash dans Chrome est assez simple. Sur un les fenêtres, Mac, Linux ou Système d’exploitation Chrome l’installation de Chrome, tapez « chrome:plugins » dans la barre d’adresse, et sur la page Plug-ins recherchez la liste « Flash »: Pour désactiver Flash, cliquez sur le lien de désactivation (pour le réactiver, cliquez sur « activer ») .
En près de 30 jours, je n’ai rencontré que deux cas où j’ai rencontré un site hébergeant une vidéo que je devais absolument regarder et qui nécessitait Flash (une vidéo d’instructions pour une salle de sport à domicile que je ne pouvais trouver nulle part ailleurs, et une vidéo diffusée en direct audience législative). Pour ceux-ci, j’ai choisi de tricher et de charger le contenu dans un navigateur compatible Flash à l’intérieur d’une machine virtuelle Linux que j’exécute à l’intérieur de VirtualBox. Avec le recul, il aurait probablement été plus simple de réactiver temporairement Flash dans Chrome, puis de le désactiver à nouveau jusqu’à ce que le besoin s’en fasse sentir.
Si vous décidez que supprimer complètement Flash ou le désactiver jusqu’à ce que vous en ayez besoin n’est pas pratique, il existe des solutions intermédiaires. Applications bloquant les scripts comme Noscript et ScriptSafe sont utiles pour bloquer le contenu Flash, mais les bloqueurs de scripts peuvent être difficiles à gérer pour de nombreux utilisateurs.
Une autre approche est le click-to-play, qui est une fonctionnalité disponible pour la plupart des navigateurs (sauf IE, malheureusement) qui bloque le chargement du contenu Flash par défaut, remplaçant le contenu des sites Web par une case vide. Avec click-to-play, les utilisateurs qui souhaitent voir le contenu bloqué n’ont qu’à cliquer sur les cases pour activer le contenu Flash à l’intérieur (click-to-play bloque également le chargement des applets Java par défaut).
Les utilisateurs de Windows qui décident de garder Flash installé et/ou activé doivent également tirer pleinement parti de la Boîte à outils d’expérience d’atténuation améliorée (EMET), un outil gratuit de Microsoft qui peut aider les utilisateurs de Windows à renforcer la sécurité des applications tierces.